用于专用主机的多指标评分的白环境可信度分析方法技术

本发明专利技术涉及一种用于专用主机的多指标评分的白环境可信度分析方法，包括如下步骤：1)CVE漏洞扫描；2)应用程序白名单监控；3)外设白名单监控；4)网络流量白名单监控；5)临时动态释放文件监控；6)专用主机安全基线监控；7)监控结果的多维分析统计。所述分析方法通过多个维度的数据关联，使信息安全管理者可以更加充分、全面地了解白环境可信度的详细信息；在增加多次分时段评估的数据统计，将白环境可信度在爆发或披露初期的变化情况，以动态的形式呈现给关注者；还通过更加直观的图表展示效果，以可视化的形式加以展现，便于信息安全管理者得出结论。

White environment reliability analysis method for multi index rating of dedicated hosts

The present invention relates to a white environment credibility analysis method for multi-index scoring of dedicated hosts, including the following steps: 1) CVE vulnerability scanning; 2) application white list monitoring; 3) peripheral white list monitoring; 4) network traffic white list monitoring; 5) temporary dynamic release file monitoring; 6) dedicated hosts security baseline monitoring; 7) monitoring Multidimensional analysis and statistics of control results. The analysis method can make information security administrators understand the detailed information of white environment credibility more fully and comprehensively through data association of multiple dimensions; add data statistics of multiple time-interval evaluation, and present the changes of white environment credibility in the initial period of outbreak or disclosure to the followers in a dynamic form. Also through more intuitive graphical display effect, in the form of visualization to be displayed, easy for information security managers to draw conclusions.

【技术实现步骤摘要】
用于专用主机的多指标评分的白环境可信度分析方法
本专利技术属于白环境分析术领域，具体涉及一种用于专用主机的多指标评分的白环境可信度分析方法。
技术介绍
目前市场上常见的专用主机防护产品分为两大类：1.基于黑名单的主机防护；2.基于白名单技术的主机防护。常见的基于黑名单的主机防护产品：例如防病毒软件、蠕虫查杀工具等，主要依赖病毒库、蠕虫库等方式实现安全防护，这种技术在发现了威胁时往往已经产生了危害，而且很多重要场合(如内网、涉密网等)常常出现特征库更新不及时的情况。随着主机渗透技术的飞速发展，APT、零日攻击等未知攻击类型成为当今网络空间安全的主要难题。依赖病毒库、蠕虫库的技术手段难以应对这类新型威胁。针对上述技术的分析，提出了基于白名单技术构建各领域专用主机的白环境的理念。通过在IT系统内部或IT系统与内部其他系统、外部网络互联边界处等关键互联节点部署网络监测/防护设备，实时对网络进行采集，并将所有监测数据送到安全管理中心通过统一统计分析和特征提取，根据分析结果对正常、异常、非法、恶意等不同数据流采取不同的安全应对策略，阻断恶意攻击和非法流量，使系统内的数据流保持正常、干净，我们称这样的环境为白环境。将基于白名单技术的专用主机白环境分为：进程白环境、网络流量白环境、外设类的白环境。对于专用主机防护而言，白名单技术可以实现通过部署初期一次固化，来达到永久安全的目标。但是，目前基于白名单技术构建各领域专用主机的白环境的理念虽然取得了一定的研究成果。然而，这些研究成果很大程度上基于一个既定假设：一个新实施或运行很久的专用主机白环境是可信的，实际上，这样的假设与我们的日常认知存在误差。
技术实现思路
本专利技术的目的在于提供一种用于专用主机的多指标评分的白环境可信度分析方法，解决用户对于不同的专用主机白环境可能具有不同的安全风险的认知问题。为实现上述目的，本专利技术所提供的一种用于专用主机的多指标评分的白环境可信度分析方法，所述分析方法通过多个维度的数据关联，使信息安全管理者可以更加充分、全面地了解白环境可信度的详细信息；在增加多次分时段评估的数据统计，将白环境可信度在爆发或披露初期的变化情况，以动态的形式呈现给关注者；还通过更加直观的图表展示效果，以可视化的形式加以展现，便于信息安全管理者得出结论。具体地，本专利技术采用的技术方案是：一种用于专用主机的多指标评分的白环境可信度分析方法，所述分析方法包括如下步骤：1)CVE漏洞扫描采用与专用主机通信连接的CVE漏洞扫描模块对专用主机进行CVE漏洞扫描，评估专用主机当前安全情况，建立状态基线，生成CVE漏洞扫描结果并上传至可信度分析单元；2)应用程序白名单监控采用与专用主机通信连接的应用程序白名单监控模块对专用主机的应用程序进行状态基线监控，并对违反专用主机应用程序的元素进行监控和告警，生成应用程序白名单监控结果并上传至可信度分析单元，所述应用程序包括可执行文件和脚本；3)外设白名单监控采用与专用主机通信连接的外设白名单模块对专用主机的外设接口进行状态基线监控，并对违反外设接口的行为进行监控和告警，生成外设白名单监控结果并上传至可信度分析单元；4)网络流量白名单监控采用与专用主机通信连接的网络流量白名单监控模块对专用主机的网络安全规则进行状态基线监控，并对违反网络安全规则的流量进行监控和告警，生成网络流量白名单监控结果并上传至可信度分析单元；5)临时动态释放文件监控采用与专用主机通信连接的临时动态释放文件监控模块对专用主机的临时动态释放文件进行状态基线监控，并对临时动态释放出来的文件进行监控和告警，生成临时动态释放文件监控结果并上传至可信度分析单元；6)专用主机安全基线监控采用与专用主机通信连接的主机安全基线监控模块对专用主机的windows安全基线进行状态基线监控，并对违反专用主机的windows安全基线的行为进行告警，生成专用主机安全基线监控结果并上传至可信度分析单元；7)监控结果的多维分析统计通过设置于所述可信度分析单元内的通用漏洞评价体系CVSS，对上传至可信度分析单元内的CVE漏洞扫描结果、应用程序白名单监控结果、外设白名单监控结果、网络流量白名单监控结果、临时动态释放文件监控结果以及专用主机安全基线监控结果进行评价分析，生成多维雷达图，形成对专用主机白环境可信度分析结果的展示。进一步地，所述CVE漏洞扫描结果包括：CVE-ID、漏洞标题、漏洞类型和危害等级。进一步地，所述CVE漏洞扫描采用双引擎漏洞库对专用主机进行CVE漏洞扫描。进一步地，所述应用程序白名单监控结果包括应用程序执行对象、应用程序的父进程、应用程序响应方式和危害可能性。进一步地，所述外设白名单监控结果包括外设接口类型、外设接口响应方式和危害原因。进一步地，所述网络流量白名单监控结果包括违反网络安全规则的流量类型、响应方式和危害原因。进一步地，所述临时动态释放文件监控结果包括临时动态释放文件的执行对象、执行对象的父进程、执行对象的响应方式和危害可能性。进一步地，所述专用主机安全基线监控结果包括违反专用主机的windows安全基线的行为的类型、行为的响应方式和危害原因。进一步地，所述多维雷达图的覆盖面积越大，表明专用主机的白环境可信度越低。进一步地，步骤7)中采用多维雷达图进行多次分时段的可信度分析统计，多维雷达图的覆盖面积呈现扩展状态，说明专用主机的白环境可信度在降低，覆盖面积呈现收缩态，说明专用主机的白环境可信度在提升。本专利技术的有益效果在于：1)通过多个维度的数据关联，使信息安全管理者可以更加充分、全面地了解白环境可信度的详细信息，即，通过CVE漏洞扫描模块对专用主机进行CVE漏洞扫描、通过应用程序白名单监控模块对专用主机的应用程序进行状态基线监控、通过外设白名单模块对专用主机的外设接口进行状态基线监控、通过网络流量白名单监控模块对专用主机的网络安全规则进行状态基线监控、通过网络流量白名单监控模块对专用主机的网络安全规则进行状态基线监控、通过主机安全基线监控模块对专用主机的windows安全基线进行状态基线监控；2)通过设置于所述可信度分析单元内的通用漏洞评价体系CVSS，对上传至可信度分析单元内的CVE漏洞扫描结果、应用程序白名单监控结果、外设白名单监控结果、网络流量白名单监控结果、临时动态释放文件监控结果以及专用主机安全基线监控结果进行评价分析；在增加多次分时段评估的数据统计，将白环境可信度在爆发或披露初期的变化情况，以动态的形式呈现给关注者；3)生成多维雷达图，形成对专用主机白环境可信度分析结果的展示，通过更加直观的图表展示效果，以可视化的形式加以展现，便于信息安全管理者得出结论。附图说明图1为本专利技术所提供的一种用于专用主机的多指标评分的白环境可信度分析方法中各监控模块与可信度分析单元的结构示意图；图2为本专利技术所提供的一种用于专用主机的多指标评分的白环境可信度分析方法生成的专用主机白环境可信度分析多维雷达图。具体实施方式下面通过具体实施例对本专利技术做进一步的说明，但实施例并不限制本专利技术的保护范围。实施例1参见图1～图2，本专利技术所提供的一种用于专用主机的多指标评分的白环境可信度分析方法，所述分析方法包括如下步骤：1)CVE漏洞扫描采用与专用主机(未图示)通信连接的CVE漏洞扫描模块10对专本文档来自技高网...

【技术保护点】
1.一种用于专用主机的多指标评分的白环境可信度分析方法，其特征在于，所述分析方法包括如下步骤：1)CVE漏洞扫描采用与专用主机通信连接的CVE漏洞扫描模块对专用主机进行CVE漏洞扫描，评估专用主机当前安全情况，建立状态基线，生成CVE漏洞扫描结果并上传至可信度分析单元；2)应用程序白名单监控采用与专用主机通信连接的应用程序白名单监控模块对专用主机的应用程序进行状态基线监控，并对违反专用主机应用程序的元素进行监控和告警，生成应用程序白名单监控结果并上传至可信度分析单元，所述应用程序包括可执行文件和脚本；3)外设白名单监控采用与专用主机通信连接的外设白名单模块对专用主机的外设接口进行状态基线监控，并对违反外设接口的行为进行监控和告警，生成外设白名单监控结果并上传至可信度分析单元；4)网络流量白名单监控采用与专用主机通信连接的网络流量白名单监控模块对专用主机的网络安全规则进行状态基线监控，并对违反网络安全规则的流量进行监控和告警，生成网络流量白名单监控结果并上传至可信度分析单元；5)临时动态释放文件监控采用与专用主机通信连接的临时动态释放文件监控模块对专用主机的临时动态释放文件进行状态基线监控，并对临时动态释放出来的文件进行监控和告警，生成临时动态释放文件监控结果并上传至可信度分析单元；6)专用主机安全基线监控采用与专用主机通信连接的主机安全基线监控模块对专用主机的windows安全基线进行状态基线监控，并对违反专用主机的windows安全基线的行为进行告警，生成专用主机安全基线监控结果并上传至可信度分析单元；7)监控结果的多维分析统计通过设置于所述可信度分析单元内的通用漏洞评价体系CVSS，对上传至可信度分析单元内的CVE漏洞扫描结果、应用程序白名单监控结果、外设白名单监控结果、网络流量白名单监控结果、临时动态释放文件监控结果以及专用主机安全基线监控结果进行评价分析，生成多维雷达图，形成对专用主机白环境可信度分析结果的展示。...

【技术特征摘要】
1.一种用于专用主机的多指标评分的白环境可信度分析方法，其特征在于，所述分析方法包括如下步骤：1)CVE漏洞扫描采用与专用主机通信连接的CVE漏洞扫描模块对专用主机进行CVE漏洞扫描，评估专用主机当前安全情况，建立状态基线，生成CVE漏洞扫描结果并上传至可信度分析单元；2)应用程序白名单监控采用与专用主机通信连接的应用程序白名单监控模块对专用主机的应用程序进行状态基线监控，并对违反专用主机应用程序的元素进行监控和告警，生成应用程序白名单监控结果并上传至可信度分析单元，所述应用程序包括可执行文件和脚本；3)外设白名单监控采用与专用主机通信连接的外设白名单模块对专用主机的外设接口进行状态基线监控，并对违反外设接口的行为进行监控和告警，生成外设白名单监控结果并上传至可信度分析单元；4)网络流量白名单监控采用与专用主机通信连接的网络流量白名单监控模块对专用主机的网络安全规则进行状态基线监控，并对违反网络安全规则的流量进行监控和告警，生成网络流量白名单监控结果并上传至可信度分析单元；5)临时动态释放文件监控采用与专用主机通信连接的临时动态释放文件监控模块对专用主机的临时动态释放文件进行状态基线监控，并对临时动态释放出来的文件进行监控和告警，生成临时动态释放文件监控结果并上传至可信度分析单元；6)专用主机安全基线监控采用与专用主机通信连接的主机安全基线监控模块对专用主机的windows安全基线进行状态基线监控，并对违反专用主机的windows安全基线的行为进行告警，生成专用主机安全基线监控结果并上传至可信度分析单元；7)监控结果的多维分析统计通过设置于所述可信度分析单元内的通用漏洞评价体系CVSS，对上传至可信度分析单元内的CVE漏洞扫描结果、应用程序白名单监控结果、外设白名单监控结果、网络流量白名单监控结果、临时动态释放文件监控结果以及专用主机安全基线监控结果进行评价分析，生成多维雷达图，形成对专用主机白...

【专利技术属性】
技术研发人员：唐志斌，
申请(专利权)人：北京中科兴安技术有限公司，
类型：发明
国别省市：北京,11